CVE-2026-42607

Nome do Software Vulnerável e Versões Afetadas Grav versões anteriores a 2.0.0-beta.2

Descrição Um usuário autenticado com privilégios administrativos pode alcançar a Execução Remota de Código (RCE) ao fazer o upload de um arquivo ZIP especialmente criado por meio da ferramenta "Direct Install". O sistema falha ao inspecionar o conteúdo de arquivos ZIP carregados, permitindo que um plugin malicioso seja extraído e execute código PHP arbitrário ou instale um web shell persistente no servidor. O problema existe no processamento da tarefa directInstall dentro do plugin Admin e do núcleo do Grav Package Manager (GPM), especificamente na função Installer::install(). O endpoint vulnerável é '/admin/tools/direct-install'.

Recomendações Atualize para a versão 2.0.0-beta.2. Como medida paliativa temporária, restrinja o acesso ao endpoint '/admin/tools/direct-install' apenas a administradores altamente confiáveis e evite a instalação de plugins de fontes não confiáveis.